なんか作りますat PHPなんか作ります - 暇つぶし2ch■コピペモード□スレを通常表示□オプションモード□このスレッドのURL■項目テキスト35:ぬこえもん(=´・ω・) ◆hb//x7qyug 07/02/23 01:44:04 .net >>34 同じスクリプトでもLolipopからXREAに移動してみるとつかえなかったりとかあったなぁ・・・ ところで、「SQLインジェクション」とかいうのに関してなんですが、 入力された文字なんかに「"」や「'」が入ってたり、危ない「DELETE」、「DROP TABLE」なんかが入っていた場合に 丁寧にエスケープしてやるしかないんでしょうか? 36:nobodyさん 07/02/23 01:48:14 Is0uTaTc.net http://www.atmarkit.co.jp/fsecurity/column/ueno/42.html 対策が漏れている場合がある。 ■セカンドオーダーSQLインジェクション SQLインジェクション対策として、入力値を適切にエスケープするという対策を行うが、 この「入力値」が何なのか間違えていたり、チェックが漏れている場合がしばしば見受け られる。また、HTMLを生成する段階でエスケープすればよいと考えている人も見受けら れるが、それも間違いである。 37:nobodyさん 07/02/23 01:48:21 Is0uTaTc.net フォームに入力可能な部分だけが対策個所ではない。不正な入力の可能性を考える 必要があるのは、GETやPOSTなどのクエリーやCookieの値、HTTPヘッダなど、HTTP 経由で送られてくるもの“すべて”と、それに加えてデータベースやファイルなどに保存 されたデータを呼び出す際にも対策を怠ってはならない。ここに問題があると、セカンド オーダーSQLインジェクションと呼ばれる脆弱性を持つことになる。 次のような$uidの値を受け付けたときに「'」を「''」としてエスケープしてデータベースに 保存したとする。 次ページ最新レス表示レスジャンプ類似スレ一覧スレッドの検索話題のニュースおまかせリストオプションしおりを挟むスレッドに書込スレッドの一覧暇つぶし2ch